chown -R $USER /etc/openvpn/easy-rsa/
1- Là tu as modifier je pense ... non ?
ou je met çà :
chown -R $remy /etc/openvpn/easy-rsa/
2- Lors de la Création d'un compte client OpenVPN .... tu as laissé "pcportablenicolargo" ????
Puis on créé le fichier client.conf (il faut remplacer A.B.C.D par l'adresse publique de votre serveur VPN que vous pouvez obtenir avec la commande "wget -qO- whatismyip.org"):
3- çà te donne bien l'IP ?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Donc si résume çà donne cela ;
Installation du serveur OpenVPN
Nous allons détailler l'installation du serveur OpenVPN sur une distribution Ubuntu Server LTS 10.04 (mais la procédure doit être la même sur Debian like).
On commence par installer OpenVPN à partir des dépôts officiels:
aptitude install openvpn
On copie ensuite les fichiers de configurations:
mkdir /etc/openvpn/easy-rsa/
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
chown -R $USER /etc/openvpn/easy-rsa/
Configuration du serveur OpenVPN
A l'aide des scripts installés dans le répertoire
/etc/openvpn/easy-rsa/ nous allons configurer OpenVPN pour utiliser une authentification par clés et certificats.
On commence par éditer le fichier
/etc/openvpn/easy-rsa/vars:
export KEY_COUNTRY="FR"
export KEY_PROVINCE="06"
export KEY_CITY="Nissa"
export KEY_ORG="nicolargo.com"
export KEY_EMAIL="
dtc@hadopi.fr"
Ensuite on lance la séquence suivante qui va générer les
clés (.key) et les
certificats (.crt):
cd /etc/openvpn/easy-rsa/
source vars
./clean-all
./build-dh
./pkitool --initca
./pkitool --server server
openvpn --genkey --secret keys/ta.key
On copie ensuite les clés et les certificats utiles pour le serveur dans le répertoire
/etc/openvpn/:
cp keys/ca.crt keys/ta.key keys/server.crt keys/server.key keys/dh1024.pem /etc/openvpn/
Puis on génère un répertoire
/etc/openvpn/jail dans lequel le processus OpeVPN sera chrooté (afin de limiter les dégâts en cas de faille dans OpenVPN) puis un autre répertoire qui contiendra la configuration des clients:
mkdir /etc/openvpn/jail
mkdir /etc/openvpn/clientconf
Enfin on créé le fichier de configuration
/etc/openvpn/server.conf:
# Serveur TCP/443
mode server
proto tcp
port 443
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 0
cipher AES-256-CBC
# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 4.4.4.4"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
; log-append /var/log/openvpn.log
Ce fichier permet de créer un serveur VPN SSL routé basée sur le protocole TCP et utilisant le port HTTPS (443) enfin de maximiser sont accessibilité depuis des réseaux sécurisés par des Firewalls. Les clients obtiendrons une nouvelle adresse IP dans le range 10.8.0.0/24.
On teste la configuration en saisissant la commande suivante:
openvpn server.conf
On doit obtenir les messages suivants:
http://blog.nicolargo.com/wp-content/uploads/2010/10/openvpnstart.png
Si le serveur démarre correctement, on peut terminer la configuration sur serveur OpenVPN en décommentant la dernière ligne du fichier
/etc/openvpn/server.conf :
log-append /var/log/openvpn.log
On lance le serveur avec la commande:
/etc/init.d/openvpn start
A ce stade un client va pouvoir ce connecter au serveur VPN. Par contre impossible d'aller plus loin car l'adresse 10.8.0.x ne sera par routée en dehors de votre serveur. Il faut donc configurer le serveur pour jouer le rôle de routeur entre l'interface VPN (tun0) et l'interface physique (eth0) et de NATeur entre les adresses en 10.8.0.x et son adresse IP réelle.
Configuration du routage:
sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'
Pour rendre ce paramètrage de routage permanant (même après un reboot), il faut ajouter la ligne suivante au fichier
/etc/sysctl.conf:
net.ipv4.ip_forward = 1
Configuration du NAT:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Le serveur est maintenant prêt à accueillir ses clients. Nous allons donc voir comment faire une déclaration de client sur le serveur.
Création d'un compte client OpenVPN
Imaginons que l'on veuille créer une clés pour le client "pcportablenicolargo" (c'est un exemple
), alors il suffit de saisir les commandes suivantes sur le serveur:
cd /etc/openvpn/easy-rsa
source vars
./build-key pcportablenicolargo
Note: si vous souhaitez protéger l'accès à vos clés par un mot de passe (c'est à dire qu'un mot de passe sera demandé à la monté du tunnel VPN), il faut utiliser la commande
./build-key-pass en lieu et place de
./buil-key.
Le script ./build-key va générer 3 fichiers dans le répertoire
/etc/openvpn/easy-rsa/keys:
pcportablenicolargo
.crt: Certificat pour le client
pcportablenicolargo
.csr: Certificat à garder sur le serveur
pcportablenicolargo
.key: Clés pour le client
On copie les fichiers nécessaires un sous répertoire du répertoire
/etc/openvpn/clientconf/ préalablement créé:
mkdir /etc/openvpn/clientconf/pcportablenicolargo/
cp /etc/openvpn/ca.crt /etc/openvpn/ta.key keys/pcportablenicolargo.crt keys/pcportablenicolargo.key /etc/openvpn/clientconf/pcportablenicolargo/
On va ensuite dans le répertoire
/etc/openvpn/clientconf/pcportablenicolargo/:
cd /etc/openvpn/clientconf/pcportablenicolargo/
Puis on créé le fichier client.conf (il faut remplacer A.B.C.D par l'adresse publique de votre serveur VPN que vous pouvez obtenir avec la commande
"wget -qO- whatismyip.org"):
# Client
client
dev tun
proto tcp-client
remote A.B.C.D 443
resolv-retry infinite
cipher AES-256-CBC
# Cles
ca ca.crt
cert pcportablenicolargo.crt
key pcportablenicolargo.key
tls-auth ta.key 1
# Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3
Pour assurer la compatibilité avec le client Windows OpenVPN, on fait une copie du fichier client.conf vers client.ovpn:
cp client.conf client.ovpn
On devrait ainsi avoir les fichiers suivants dans le répertoire
/etc/openvpn/clientconf/pcportablenicolargo/:
ca.crt: Certificat du serveur
client.conf: Fichier de configuration du client OpenVPN (Linux, BSD, MacOS X)
client.ovpn: Fichier de configuration du client OpenVPN (Windows)
hennionn.crt: Certificat du client
hennionn.key: Clés du client
ta.key: Clés pour l'authentification
Il ne reste plus qu'à mettre ces fichiers dans une archive ZIP et de la transmettre sur le PC client:
zip pcportablenicolargo.zip *.*
Update... (le script est hébergé sur
GitHub)
Pour les plus fainéants, j'ai créé un script permettant d'automatiser les étapes décrites dans ce paragraphe et donc de permettre simplement la déclaration d'un nouveau client VPN sur votre serveur.
Le script en question est récupérable ici.
/Update
Attribuer une adresse IP statique à un client VPN
Bouhhh surtout pas .... du moins a mon avis
Ensuite zou le site de l'auteur..... (y a trop d'image a copier - coller)
OpenVPN
Configuration d'un client OpenVPN sous Windows
Update
Après quelques tests sous Windows XP, le client que je préconise ci dessous n'est vraiment pas concluant (impossible de se connecter au serveur une fois sur deux, pas de log...).
Je conseille donc l'utilisation d'une solution libre “OpenVPN Windows” (à télécharger sur le site
http://openvpn.net/index.php/open-source/downloads.html).
Une fois installé, il suffit de décompresser l'archive pcportablenicolargo.zip dans le répertoire C😛rograms FilesOpenvpnconf et de se connecter à partir du bouton qui se trouve dans la barre des taches.
/Update
On part sur le principe ou le fichier pcportablenicolargo.zip a été téléchargé et dézippé dans le répertoire c:vpnpcportablenicolargo.
On va utiliser le client OpenVPN pour Windows nommé "OpenVPN Acccess Server Windows client" téléchargeable sur le site suivant (il nécessite l'installation préalable du framework .NET 3.5 SP1, téléchargeable sur le même site).
PS ; 2 h 30 pour faire ce post :side: .... a vous de vérifier
